[发明专利]恶意软件检测系统攻击防止在审
| 申请号: | 201810528231.8 | 申请日: | 2018-05-25 |
| 公开(公告)号: | CN109145601A | 公开(公告)日: | 2019-01-04 |
| 发明(设计)人: | 陈理 | 申请(专利权)人: | 英特尔公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06N20/00 |
| 代理公司: | 永新专利商标代理有限公司 72002 | 代理人: | 刘瑜;王英 |
| 地址: | 美国加*** | 国省代码: | 美国;US |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 机器学习系统 时间序列 有向图 恶意软件检测 二进制文件 防止攻击 防止系统 时间窗口 系统攻击 传入的 建模 补救 警报 检测 | ||
1.一种用于防止毒性攻击的恶意软件检测系统,所述恶意软件检测系统包括:
异常检测系统,其用于:
在机器学习系统的训练期间使用传入的二进制文件对有向图的时间序列进行建模,以检测恶意软件攻击;
在所述时间序列的时间窗口期间,基于所述有向图的时间序列中的有向图来检测异常;以及
提供关于所述异常已经损坏所述机器学习系统的警报。
2.根据权利要求1所述的恶意软件检测系统,其中,所述有向图的顶点是与所述传入的二进制文件相对应的函数,并且所述有向图的边是由所述边连接的相应顶点的函数之间的调用关系。
3.根据权利要求1所述的恶意软件检测系统,其中,所述有向图与所述时间窗口相对应。
4.根据权利要求1所述的恶意软件检测系统,其中,所述有向图与在所述时间窗口之前出现的先前时间窗口相对应。
5.根据权利要求1所述的恶意软件检测系统,其中,为了检测所述异常,所述异常检测系统进行以下操作:
针对所述有向图的多个子图导出扫描统计信息,所述多个子图包括距离所述有向图中的特定顶点数个连接边的相应顶点;以及
检测所述扫描统计信息在所述时间窗口内的变化点,所述变化点表示所述异常并且与所述扫描统计信息中在阈值以上的扫描统计信息的值相对应。
6.根据权利要求5所述的恶意软件检测系统,其中,所述扫描统计信息包括在所述时间窗口上对所述多个子图中的子图的所述连接边的数量的最大值的计数,并且其中,远离所述子图的特定顶点的所述数个连接边包括所述特定顶点的一组k最近邻顶点。
7.根据权利要求5所述的恶意软件检测系统,其中,所述扫描统计信息包括在先前时间窗口上对所述多个子图中的子图的所述连接边的数量的最大值的计数。
8.根据权利要求5所述的恶意软件检测系统,其中,所述扫描统计信息包括在所述时间窗口上导出的局部性统计信息和在先前时间窗口上导出的扫描统计信息的加权几何平均数。
9.根据权利要求5所述的恶意软件检测系统,其中,为了导出所述扫描统计信息,所述异常检测系统对所述扫描统计信息执行时间归一化,以在所述时间窗口上平滑所述扫描统计信息。
10.根据权利要求1所述的恶意软件检测系统,其中,所述有向图是调用图。
11.一种用于在恶意软件检测系统上防止攻击的方法,所述方法包括:
在机器学习系统的训练期间使用传入的二进制文件对有向图的时间序列进行建模,以检测恶意软件攻击;
在所述时间序列的时间窗口期间,基于所述有向图的时间序列中的有向图来检测异常;以及
提供关于所述异常已经损坏所述机器学习系统的警报。
12.根据权利要求11所述的方法,其中,所述有向图的顶点是与所述传入的二进制文件相对应的函数,并且所述有向图的边是由所述边连接的相应顶点的函数之间的调用关系。
13.根据权利要求11所述的方法,其中,所述有向图与所述时间窗口相对应。
14.根据权利要求11所述的方法,其中,所述有向图与在所述时间窗口之前出现的先前时间窗口相对应。
15.根据权利要求11所述的方法,其中,检测所述异常包括:
针对所述有向图的多个子图导出扫描统计信息,所述多个子图包括距离所述有向图中的特定顶点数个连接边的相应顶点;以及
检测所述扫描统计信息在所述时间窗口内的变化点,所述变化点表示所述异常并且与所述扫描统计信息中在阈值以上的扫描统计信息的值相对应。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于英特尔公司,未经英特尔公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810528231.8/1.html,转载请声明来源钻瓜专利网。
